Jump to content
tigger6

KSWS Anti Cryptor

Recommended Posts

Hallo Leute,

 

das ist ja echt toll das das Anti Cryptor Modul nun auch mit der Select Stufe läuft.

Nun habe ich eine neue Herausforderung ;-).

Wie kann ich einzelne Dateien aus der Überprüfung herrausnehmen?

Ich habe z.B. eine Software mit einem Lizenzkey am laufen. Jedesmal wenn die Software den Lizenzkey anfragt, gibt es einen Anticryptor Alarm.

Das geht dann soweit, das der Computer aus dem Netzwerk gesperrt wird.

Oder gibt es schon ein best practice?

Share this post


Link to post
Hallo Leute,

 

das ist ja echt toll das das Anti Cryptor Modul nun auch mit der Select Stufe läuft.

Nun habe ich eine neue Herausforderung ;-).

Wie kann ich einzelne Dateien aus der Überprüfung herrausnehmen?

Ich habe z.B. eine Software mit einem Lizenzkey am laufen. Jedesmal wenn die Software den Lizenzkey anfragt, gibt es einen Anticryptor Alarm.

Das geht dann soweit, das der Computer aus dem Netzwerk gesperrt wird.

Oder gibt es schon ein best practice?

 

Es gibt beim Anti-Cryptor-Modul noch ein bekanntes Problem mit der Heuristik, s. https://forum.kaspersky.com/index.php?showtopic=347953

Bis es einen Fix gibt lautet die Empfehlung: Heuristik für dieses Modul abschalten.

 

Grüße

Alex

Share this post


Link to post
Hallo Leute,

 

das ist ja echt toll das das Anti Cryptor Modul nun auch mit der Select Stufe läuft.

Nun habe ich eine neue Herausforderung ;-).

Wie kann ich einzelne Dateien aus der Überprüfung herrausnehmen?

Ich habe z.B. eine Software mit einem Lizenzkey am laufen. Jedesmal wenn die Software den Lizenzkey anfragt, gibt es einen Anticryptor Alarm.

Das geht dann soweit, das der Computer aus dem Netzwerk gesperrt wird.

Oder gibt es schon ein best practice?

Hello,

 

Can you please collect product traces while the problem is reproduced and send the logs to me via the Private Message? We'll see if the fix we're preparing will also resolve this false positive issue.

 

If you don't want the clients to be blocked while reproducing the issue, you should stop the Host Blocker task. After the traces are collected, you can turn the Host Blocker task back on, and disable the Heuristic Analyzer part of the AntiCryptor to temporarily get rid of the false positives (it is most probably this part that is causing the issues).

 

Thanks in advance!

Share this post


Link to post
Wie kann ich einzelne Dateien aus der Überprüfung herausnehmen?

Ich habe z.B. eine Software mit einem Lizenzkey am laufen. Jedesmal wenn die Software den Lizenzkey anfragt, gibt es einen Anticryptor Alarm.

Das geht dann soweit, das der Computer aus dem Netzwerk gesperrt wird.

Alexcad hat dir ja schon eine wesentliche Antwort gegeben. Trotzdem möchte ich noch etwas ergänzen, weil es ein paar Haken und Ösen gibt.

 

Es gibt vier mir bekannte Szenarien, die KSWS mit dem Schutz vor Verschlüsselung abdecken muss.

 

1. Unverschlüsselte Dateien dürfen nicht als Verschlüsselungsangriff erkannt werden ("False positive"). Dazu hat sich Oleg ja schon bei dir gemeldet. Er wird dir eine neue DLL zukommen lassen, mit der dein Problem vermutlich behoben ist. Bis dahin musst du die heuristische Prüfung deaktiveren.

 

2. Beim Arbeiten mit serverbasierten Profilen werden beim Abmelden verschiedene verschlüsselte Dateien abgespeichert. Das erkennt KSWS bei entsprechender Konfiguration als Angriff und blockt den Client. Bei Terminalservern ist das fatal. Dieser Fehler besteht auch bei Einsatz der neuen DLL noch und lässt sich nur durch Deaktivierung der heuristischen Prüfung unterbinden. Hierzu soll ein Patch entwickelt werden.

 

3. Verschlüsselungsangriffe sollen erkannt werden.

 

4. Es muss möglich sein, geplant zu verschlüsseln. Dazu muss man den Pfad, in dem die verschlüsselte Datei anlegt, in der Richtlinie als Ausnahme definieren. Wie Oleg in einem anderen Beitrag geschrieben hat, soll das gehen. Syntax, wenn Unterordner eingeschlossen werden sollen, z. B. D:\Pfad\.

Leider klappt das zurzeit bei mir nicht, was zur Folge hat, dass der Client blockiert wird. Ich bin diesbezüglich aber mit Oleg in Kontakt.

 

Interessant: Die Meldung über den entdeckten Angriff fängt auch mit HEUR an, was für mich auf Heuristik hindeutet. Dabei habe ich heuristische Prüfung deaktiviert. Aber der Messagetext ist wohl per Design so.

 

Ich hoffe, ein bisschen Klarheit gebracht zu haben.

 

Gruß

OBK

Share this post


Link to post
Es muss möglich sein, geplant zu verschlüsseln. Dazu muss man den Pfad, in dem die verschlüsselte Datei anlegt, in der Richtlinie als Ausnahme definieren. Wie Oleg in einem anderen Beitrag geschrieben hat, soll das gehen. Syntax, wenn Unterordner eingeschlossen werden sollen, z. B. D:\Pfad\.

Leider klappt das zurzeit bei mir nicht, was zur Folge hat, dass der Client blockiert wird. Ich bin diesbezüglich aber mit Oleg in Kontakt.

 

Habe gerade folgende Rückmeldung von Oleg bekommen:

We have found a bug in AntiCryptor - it doesn't apply excluded folders when they are set in the Kaspersky Security Center policy (which is how you set it, it seems). This bug will also be fixed in the upcoming AntiCryptor patch.

 

Es könnte sein, dass die Ausnahme zieht, wenn man sie lokal und nicht über Richtlinie konfiguriert.

 

Gruß

OBK

Share this post


Link to post

Ich habe eine Ausnahme für KeePass lokal am Server (via MMC) gemacht, was funktioniert hat.

Share this post


Link to post

zu dem Thema, dass die Einstellung am KSC in der Richtlinie nicht funktioniert, fällt mir noch, dass beim Kaspersky manchmal Einstellungen nicht übernommen werden, wenn das Schloss (=Sperre, dass man es am Computer nicht ändern darf) nicht geschlossen ist.

Vlt. ist das das Problem, dass die Ausnahmen nicht übernommen werden?

Share this post


Link to post
zu dem Thema, dass die Einstellung am KSC in der Richtlinie nicht funktioniert, fällt mir noch, dass beim Kaspersky manchmal Einstellungen nicht übernommen werden, wenn das Schloss (=Sperre, dass man es am Computer nicht ändern darf) nicht geschlossen ist.

Vlt. ist das das Problem, dass die Ausnahmen nicht übernommen werden?

Theoretisch ja, aber ich habe gestern schon geschrieben, was Oleg mir gemailt hat:

We have found a bug in AntiCryptor - it doesn't apply excluded folders when they are set in the Kaspersky Security Center policy.

 

In diesem Fall lohnt sich also keine weitere Fehlersuche. Aber die Tatsache, dass du mit einer lokalen Konfiguration weitergekommen bist, bestätigt die bisherigen Informationen.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.